10/12/2024
Tribune
Cybersécurité : gare à la surrèglementation
Les règlementations européennes NIS2 et DORA sont une réponse ambitieuse à la montée des risques cyber. Mais l’excès de contrôle pourrait détourner les entreprises de leur objectif premier – la sécurité opérationnelle – en privilégiant la conformité au détriment de solutions pragmatiques.
Découvrez cette tribune rédigée par Sylvie Jonas, Avocate, Fondatrice du cabinet Agil’IT et François Ehly, Manager gouvernance, risques & conformité chez Almond
Des règles communes de protection
Deux réglementations qui se recouvrent
DORA est un règlement entré en vigueur en janvier 2023 et qui deviendra effectif en janvier 2025. Le règlement DORA apporte, dans un seul acte législatif et pour la première fois de l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC (Technologies de l’Information et de la Communication) critiques au niveau de l’UE. En résumé, les entités financières européennes ou opérant en Europe devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation, accidentelle ou criminelle, de leurs systèmes d’information. La réglementation DORA est en quelque sorte un texte spécial d’application de NIS2 pour le secteur financier, qui en théorie, n’aurait donc pas à appliquer NIS2.
Dans la réalité, les deux réglementations se recouvrent, et il n’est pas toujours simple de savoir si, comme fournisseur de services multidisciplinaires par exemple, on est une entreprise « essentielle » ou « importante » au titre de NIS2 et/ou concerné en même temps par DORA si l’on fournit ces services aussi à des entreprises du secteur financier. En fait, NIS2 et DORA ne sont pas en contradiction mais expriment des différences dans la façon de penser les risques et dans les mécanismes de supervision. Ces différences peuvent engendrer de possibles zones de friction qui pourraient générer des coûts significatifs de mise en conformité pour les entreprises. En théorie, ce sont les régulateurs nationaux qui seront chargés de vérifier la conformité des entreprises (comme l’ANSSI ou l’ACPR en France), mais dans la réalité, la sanction de la non-conformité pourrait provenir, à court terme, du marché ou des juridictions civiles (i.e. recherche de responsabilité sur un préjudice), ce qui n’est pas des plus simples à gérer pour l’entreprise.
Contrôle partout, sécurité nulle part ?
D’une manière générale, l’entrée en vigueur de ces réglementations intervient alors que les entreprises ont déjà mis en œuvre des procédures de protection de leurs infrastructures digitales et de résistance aux attaques. Or, de façon assez contre intuitive, l’excès des dispositifs de contrôle que pourrait provoquer la mise en conformité avec NIS2 et DORA seraient susceptibles de nuire à la sécurité à cause de contrôles très granulaires et donc très lourds, poussant très loin la logique des contrôles, jusqu’aux fournisseurs des fournisseurs par exemple.
L’expérience prouve que le fait que des organisations consacrent d’énormes moyens à la réalisation de contrôles n’est pas toujours le gage d’une amélioration significative de la sécurité. Le danger est de faire de la conformité pour faire de la conformité, pour cocher des cases. La conformité est un levier certes, mais elle ne doit pas se faire au détriment de la réalisation opérationnelle de la sécurité. Appliquer le bon sens du modèle universel de cybersécurité est une excellente façon de se mettre en pré conformité ou en conformité. Une seule chose compte : que les procédures de sécurité répondent de façon claire aux incidents, que ce soit en les prévenant ou en limitant leur impact, quelle que soit sa place dans l’écosystème.
Pour l’heure, dans l’incertitude où sont les entreprises quant aux contours exacts de ces deux réglementations et à leurs conditions précises d’applications, il serait bon que les autorités compétentes se concentrent sur les décrets d’application, les textes complémentaires et les bonnes pratiques, et se mettent en pause sur de nouvelles législations.